Correction de Planning Analytics Workspace Log4j : tout ce que vous devez savoir !

Correction de Planning Analytics Workspace Log4j : tout ce que vous devez savoir !

Comme vous le savez probablement, la vulnérabilité Log4j a été exposée la semaine dernière. IBM vient de publier une nouvelle version de Planning Analytics Workspace qui corrige cette vulnérabilité.

Versions de Planning Analytics Workspace impactées par Log4j

La vulnérabilité Log4j affecte les versions de Planning Analytics Workspace depuis la version 2.0.57. Par conséquent, si vous avez appliqué une nouvelle version de PAW au cours de la dernière année et un peu, alors vous êtes affecté.

Où obtenir une version mise à jour de PAW

Veuillez vous rendre sur le Fix Central d’IBM ici et télécharger la version 2.0.72 de PAW, qui contient le correctif.

Si vous avez besoin d’instructions pour installer la mise à niveau PAW pour adresser Log4J, n’hésitez pas à nous contacter

Dans quelle mesure la mise à niveau est-elle urgente ?

Si votre serveur PAW est exposé à Internet, notre point de vue est que vous devez planifier la mise à niveau de toute urgence. S’il se trouve derrière un pare-feu d’entreprise et n’est pas disponible sur Internet, vous devez effectuer la mise à niveau dès que possible.

Synchronisation avec d’autres outils IBM Planning Analytics

Veuillez également noter que si vous mettez à niveau PAW sur plusieurs versions, vous devrez mettre à niveau TM1 (PA) Server, Planning Analytics for Excel et Planning Analytics Spreadsheet Services (TM1WEB). Les mises à niveau pour tous ces éléments sont également disponibles sur Fix Central. Les instructions d’installation de chacun sont liées au produit dans la phrase précédente.

Qu’est-ce que Log4j ?

La vulnérabilité Log4j est une méthode par laquelle les attaquants peuvent pirater les systèmes qui utilisent Apache Log4j pour la journalisation.

Apache Log4j pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur le système, en raison de l’échec de la protection contre LDAP contrôlé par l’attaquant et d’autres points de terminaison liés à JNDI par les fonctionnalités JNDI. En envoyant une chaîne de code spécialement conçue, un attaquant pourrait exploiter cette vulnérabilité pour charger du code Java arbitraire sur le serveur et prendre le contrôle total du système. Remarque : la vulnérabilité est également appelée Log4Shell ou LogJam.

Commentaires récents